VECT 2.0 išpirkos reikalaujanti programa
Kibernetinių nusikaltėlių operacija, žinoma kaip VECT 2.0, save pristato kaip išpirkos reikalaujančią programinę įrangą, tačiau techninė analizė rodo, kad jos elgesys daug labiau primena duomenų valytuvą. Dėl didelio šifravimo įgyvendinimo trūkumo „Windows“, „Linux“ ir „ESXi“ versijose failų atkūrimas neįmanomas net ir už atakų atsakingiems operatoriams.
Didesniems nei 131 KB failams, kuriuose yra dauguma įmonei svarbių duomenų, kenkėjiška programa neužtikrina atkuriamo šifravimo. Vietoj to, ji visam laikui sunaikina duomenis, reikalingus atkūrimui. Todėl išpirkos mokėjimas nesuteikia realaus būdo atkurti duomenis.
Bet kokio VECT 2.0 incidento atveju derybos neturėtų būti laikomos taisomąja strategija. Nėra funkcionalaus iššifravimo įrankio, kurį būtų galima pateikti, nes informacija, reikalinga jam sukurti, vykdymo metu pašalinama. Gynybos prioritetai turėtų būti sutelkti į neprisijungus pasiekiamas atsargines kopijas, patvirtintus atkūrimo planus, greitą izoliavimą ir verslo atsparumą.
Turinys
Auganti RaaS operacija su nusikalstamomis partnerystėmis
VECT iš pradžių buvo paleista kaip išpirkos reikalaujančios programinės įrangos kaip paslaugos (RaaS) programa 2025 m. gruodžio mėn. ir vėliau pervadinta į VECT 2.0. Jos tamsiojo interneto portalas reklamuoja modelį „Eksfiltracija / Šifravimas / Prievartavimas“, rodantį trigubą prievartavimo metodą.
Pranešama, kad naujiems filialams taikomas 250 USD „Monero“ (XMR) įstojimo mokestis. Tačiau pareiškėjams iš Nepriklausomų Valstybių Sandraugos (NVS) šalių šis mokestis netaikomas, o tai rodo tikslinį verbavimą iš šio regiono.
Grupė taip pat užmezgė partnerystes su „BreachForums“ ir „TeamPCP“ įsilaužėlių kolektyvu. Atrodo, kad šis bendradarbiavimas skirtas supaprastinti išpirkos reikalaujančių programų operacijas, sumažinti kliūtis naujiems filialams ir panaudoti anksčiau pavogtus duomenis tolesnėms atakoms.
Tiekimo grandinės kredencialų vagysčių, organizuotų filialų operacijų ir forumuose vykdomos nusikalstamos mobilizacijos derinys atspindi vis labiau industrializuotą išpirkos reikalaujančių programų ekosistemą.
Aukų skaičius išlieka mažas, nepaisant drąsių teiginių
Nepaisant agresyvaus prekės ženklo naudojimo, pranešama, kad „VECT 2.0“ nutekinimo svetainėje nurodytos tik dvi aukos, kurios abi tariamai buvo užkrėstos su „TeamPCP“ susijusiomis tiekimo grandinės atakomis.
Iš pradžių grupė teigė naudojanti „ChaCha20-Poly1305 AEAD“ – stipresnį autentifikuotą šifravimo metodą. Tačiau techninės peržiūros metu buvo nustatyta, kad naudojamas silpnesnis neautentifikuotas šifras, neturintis vientisumo apsaugos, todėl kilo rimtų abejonių tiek dėl jo pajėgumo, tiek dėl patikimumo.
Šifravimo klaida, sunaikinanti duomenis
Didžiausias kenkėjiškos programos trūkumas yra tai, kaip ji apdoroja didesnius nei 131 072 baitai failus. Užuot saugiai užšifravusi atkuriamus duomenis, ji kiekvieną didelį failą padalija į keturis fragmentus ir kiekvieną skyrių užšifruoja naudodama atskirus atsitiktinai sugeneruotus 12 baitų dydžio skaitmeninius koduotes (nonsus).
Užšifruotame faile saugoma tik paskutinė nonso dešifravimo schema. Pirmieji trys nonso dešifravimo schemos, reikalingos didžiajai daliai failo iššifruoti, yra sugeneruojamos, naudojamos vieną kartą ir išmetamos visam laikui. Jos nėra saugomos lokaliai, įrašomos į registrą ir nesiunčiamos operatoriui.
Kadangi „ChaCha20-IETF“ metodui iššifravimui reikalingas ir teisingas 32 baitų raktas, ir atitinkamas nonce kodas, pirmieji trys ketvirtadaliai kiekvieno paveikto failo tampa neatkuriami. Tai reiškia, kad VECT 2.0 veikia kaip žalingas valytuvas, paslėptas už išpirkos reikalaujančių programų pranešimų.
„Windows“ variantas: išplėstinės funkcijos, silpnas vykdymas
„Windows“ versija yra turtingiausia funkcijomis ir skirta:
- Vietiniai diskai, išimamos laikmenos ir pasiekiama tinklo saugykla
- 44 saugumo ir derinimo įrankiai, naudojant antianalizės patikrinimus
- Saugaus režimo išlikimo mechanizmai
- Nuotolinio vykdymo scenarijų šablonai šoniniam judėjimui
Paleidus su --force-safemode, kenkėjiška programa sukonfigūruoja kitą kartą perkraunant sistemą į „Windows“ saugųjį režimą ir prideda vykdomojo failo kelią į „Windows“ registrą, kad ji automatiškai veiktų po perkrovimo sumažinto saugumo aplinkoje.
Įdomu tai, kad nors „Windows“ variante yra aplinkos aptikimo ir vengimo mechanizmai, pranešama, kad šios procedūros niekada nėra iškviečiamos. Tai gali leisti gynėjams analizuoti pavyzdžius nesukeliant slaptų atsakų.
„Linux“ ir „ESXi“ variantai plečia grėsmių paviršių
„ESXi“ versija prieš pradėdama šifravimą atlieka geofencingo ir derinimo prevencijos patikrinimus. Ji taip pat bando judėti horizontaliai per SSH. „Linux“ variantas naudoja tą pačią kodo bazę kaip ir „ESXi“ pavyzdys, tačiau turi mažiau funkcijų.
Šis kelių platformų palaikymas suteikia VECT 2.0 platų taikymo potencialą įmonių aplinkose, ypač tose, kurios remiasi virtualizacija ir mišriomis operacinėmis sistemomis.
Neįprastas CIS geofencingas kelia klausimų
Prieš šifruodama sistemas, kenkėjiška programa patikrina, ar ji veikia NVS šalyje. Jei taip, vykdymas sustabdomas. Pažymėtina, kad pranešama, jog Ukraina vis dar įtraukta į šias išimtis – tai neįprastas elgesys, nes daugelis išpirkos reikalaujančių programų grupių po 2022 m. pašalino Ukrainą iš NVS išimčių sąrašų.
Buvo pasiūlyti du tikėtini paaiškinimai:
- Kenkėjiška programa galėjo būti iš dalies sukurta naudojant dirbtinio intelekto modelius, apmokytus naudojant pasenusius geopolitinius duomenis.
- Kūrėjai galėjo pakartotinai panaudoti senesnę išpirkos reikalaujančių programų kodo bazę neatnaujinę regioninės logikos.
Nepatyrusių operatorių požymiai
Nors „VECT 2.0“ save pristato kaip išbaigtą daugiaplatformę grėsmę su filialų įdarbinimu, tiekimo grandinės partnerystėmis ir profesionaliu prekės ženklo kūrimu, techninis įgyvendinimas byloja ką kita.
Saugumo vertinimas rodo, kad operatoriai greičiausiai yra pradedantieji grėsmių vykdytojai, o ne patyrę išpirkos reikalaujančių programų kūrėjai. Negalima atmesti galimybės, kad kai kurias kenkėjiškas programas sukūrė arba jas sukūrė dirbtinio intelekto sugeneruotas kodas.
Vadovų saugumo vertinimas
„VECT 2.0“ parodo, kaip pavojingai atrodančios išpirkos reikalaujančios programinės įrangos versijos vis dar gali būti techniškai ydingos. Jos infrastruktūra, partnerystės ir prekės ženklas sukuria rimtos nusikalstamos veiklos įvaizdį, tačiau šifravimo dizaino nesėkmė visiškai paneigia išpirkos reikalavimo modelį.
Gynėjams pamoka aiški: sutelkti dėmesį į atsparumą, atsargines kopijas, segmentavimą ir greitą reagavimą į incidentus. VECT 2.0 atakos metu mokėjimas negarantuoja atkūrimo, jis tik seka po sunaikinimo.
